2023年 金融机构应用系统安全测试体系建设 调研报告 (内部资料注意保存) 中国计算机用户协会信息科技审计分会 目录 目录1 前言3 1、金融机构应用系统安全建设概述5 1.1、金融行业应用系统安全的概述5 1.2、金融行业应用系统安全面临的挑战5 1.3、金融行业应用系统安全的解决方案6 1.4、金融行业应用系统安全的未来展望6 1.5、应用系统安全测试体系建设对金融机构的意义8 2、金融机构应用系统安全测试调研情况分析8 2.1、调研目的8 2.2、调研问卷设计及统计方法9 2.3、问卷回收情况9 3、调研数据分析11 3.1、应用系统安全测试组织架构11 3.1.1、负责应用系统安全部门情况统计11 3.1.2、自有应用安全测试团队人员规模情况分析11 3.1.3、各机构外协应用系统安全测试人员规模12 3.1.4、应用系统安全测试领域每年的资金投入量级13 3.2、互联网应用系统安全测试需求14 3.2.1、各机构提供服务的互联网应用系统数量14 3.2.2、C/S架构应用的安全测试需求14 3.2.3、开展应用系统安全测试的计划15 3.2.4、提供服务的互联网应用类型16 3.2.5、互联网应用中APP和小程序占比16 3.2.6、互联网应用服务涵盖的业务范围17 3.2.7、互联网应用服务发布/更新频次17 3.2.8、互联网应用上线后的安全测试频率18 3.2.9、安全测试对互联网应用系统的覆盖情况19 3.3、非互联网应用系统安全测试需求19 3.3.1、各机构提供服务的非互联网应用系统数量19 3.3.2、内部应用系统安全测试团队建设情况20 3.3.3、内部应用上线后进行安全测试的频率21 3.3.4、安全测试对内部应用系统的覆盖情况21 3.4、各机构应用系统安全测试质量管理情况22 3.4.1、应用安全测试质量对安全管理需求的满足情况22 3.4.2、各单位当前的应用安全测试管理水平23 3.4.3、软件安全开发全流程(SDLC)建立情况23 3.4.4、目前已经采用的应用安全测试方式24 3.4.5、应用安全测试过程中重点关注的内容24 3.4.6、以往开展的应用安全测试过程中主要检查的内容25 3.4.7、平均每人天检测出的应用服务上线前安全缺陷数量26 3.4.8、平均每人天检测出的应用服务上线后漏洞数量26 3.4.9、应用安全测试工具及其主要来源26 3.4.10、对应用安全测试的审计情况27 3.5、各机构应用系统安全测试标准化程度28 3.5.1、应用安全测试标准或规范建立情况28 3.5.2、测试人员实施或培训技术指南形成情况28 3.5.3、应用安全测试质量衡量准则建立情况29 3.5.4、应用系统安全测试中使用的标准和规范30 3.6、各机构应用系统安全测试待解决问题30 3.6.1、应用安全测试过程中经常遇到的问题30 3.6.2、应用安全测试工作最大的难点31 3.6.3、希望分会提供的应用安全测试领域服务32 4、对金融机构应用系统安全测试体系建设的建议32 4.1、金融机构应用系统安全的发展趋势32 4.2、加强应用系统安全测试规范性建设33 4.3、建立科学、规范、安全的应用系统开发上线流程33 4.4、建立科学、高效的应用系统安全测试标准并定期更新34 4.5、加强组织建设和人员能力提升34 4.6、建议并逐步完成软件安全开发全生命周期流程35 5、报告编写团队36 前言 2023年2月3日至3月15日开展了会员走访和调研,征询会员单位对分会2023年工作计划的建议,收集会员对团体标准建设和应用的意见.本次调研共走访28家会员单位,其中银行16家,其中国有大型银行3家,股份制银行7 家、城商行1家、农商行2家、民营银行1家、合资银行1家、外资银行1家, 保险机构2家,非银机构1家,大学机构1家,科技企业7家、第三方机构1家。 会员单位共提出17个研究课题,团体标准类预研课题10项,其中“金融机构应用系统安全测试规范”关注度较高。 分会副理事长单位中国农业银行股份有限公司科技部门十分重视应用系统安全测试管理体系建设,经过多年实践、积累和不断优化,测试管理体系日臻完善,并形成管理规范,得到了有关部门和同业的一致肯定。信息科技审计分会根据会员需求,组织中国农业银行股份有限公司、新华三集团等会员单位组成研究小组对建立“金融机构应用系统安全测试规范”团体标准的必要性、可行性和效益性展开预研。 2023年8月,《金融机构应用系统安全测试规程》团体标准起草组(以下简称“起草组”)成立。由分会副理事长单位中国农业银行股份有限公司担任组长单位,中国建设银行股份有限公司、华夏银行股份有限公司、上海浦东发展银行股份有限公司、中国光大银行股份有限公司、渤海银行股份有限公司、九江银行股份有限公司、深圳前海微众银行股份有限公司、开泰银行(中国)有限公司、浙江农商联合银行股份有限公司、中国人寿保险集团股份有限公司、山东重工集团财务公司、南京审计大学、北京信息科技大学、中治研(北京)国际信息技术研究院等金融机构用户、大学及科研机构,以及副组长单位新华三技术有限公司为代表的10多家信息安全企业共30多家会员单位参加起草组。 该标准将发挥产学研协同优势,汇聚行业领先用户和企业经验,以行业最佳实践为基础,对金融机构应用系统的安全测试流程、测试范围、测试方法和测试要求进行规范,合力强化金融行业互联网应用系统的安全测试原则和体系架构。为金融机构应用系统的安全和服务效能提升提供标准遵循,助力金融信息安全整体水平提升。 根据计划,起草组在标准编写过程中,开展了金融机构应用系统安全领域专题调研。 本次调研是为金融机构、监管部门、相关研究机构、企业和行业组织了解金融机构应用系统安全体系建设情况提供参考,同时,为团体标准《金融机构应用系统安全测试规程》的编写和应用提供行业依据。 本次调研要感谢参与问卷设计和报告编写的各会员单位,《金融机构应用系统安全测试规程》团体标准起草组成员。同时,也对参与本次问卷调研的单位表示最诚挚的谢意!特别感谢新华三技术有限公司、北京安全共识科技有限公司、四维创智(北京)科技发展有限公司、奇安信网神信息技术(北京)股份有限公司、北京赛博昆仑科技有限公司、上海斗象信息科技有限公司、北京神州绿盟科技有限公司、北京奇虎科技有限公司、北京长亭科技有限公司、远江盛邦(北京)网络安全科技股份有限公司等单位对本次调研提供的赞助。 由于受调研抽样范围、问卷设计、问卷理解和对相关信息解读视角等因素制约,本调研报告内容和观点可能存在偏差或有待完善之处,不当之处敬请各位领导、专家批评指正,提出建议和指导,以便于我们持续完善和改进。 《金融机构应用系统安全测试规程》团体标准起草组2023年12月 1、金融机构应用系统安全建设概述 1.1、金融行业应用系统安全的概述 应用系统安全是指在金融机构中保护应用程序和相关数据免受未经授权的访问、篡改、窃取或破坏的过程。它包括防止黑客入侵、恶意软件感染、数据泄露和内部威胁等恶意活动,同时确保应用系统的机密性、完整性和可用性。 应用系统安全所涉及的范围非常广泛,包括各种应用程序、数据库、网络通信、身份认证和访问控制等方面。它要求在应用系统的设计、开发、部署和运维各个环节都需要考虑安全问题,以保护金融机构的信息资产和用户的敏感数据。 1.2、金融行业应用系统安全面临的挑战 金融行业应用系统安全面临着独特的挑战,包括但不限于以下几个方面。 ●数据安全与隐私保护:金融行业应用涉及大量的个人隐私和财务数据,需要确保用户数据在传输、存储和处理过程中不受到未经授权的访问或泄露。 ●交易安全与风险控制:金融应用需要确保交易过程的安全性和完整性,同时要对交易进行有效的风险控制,防范欺诈行为和交易风险。 ●合规和监管要求:金融行业对用户数据隐私保护、合规要求和信息安全等方面有着严格要求,金融机构需要密切关注和应对合规要求,确保应用系统的安全性和合法性。 新兴技术与安全挑战:金融行业不断接受新技术的应用,如区块链、人工智能和物联网,这些新技术也带来了新的安全挑战,需要及时应对。此外,黑客及其他攻击者不断研发新的攻击技术和工具,攻击手段日趋复杂和隐蔽:例如,恶意软件、零日漏洞攻击、拒绝服务攻击等,给应用系统的安全性带来了巨大威胁。 ●移动应用的快速发展和云计算的广泛应用使得应用系统的攻击面更广:许多 金融机构都提供移动应用和在线服务,从而扩大了攻击者的入侵途径。此外,移动设备的本身安全性薄弱,如手机丢失、越狱或Root等问题,也使得金融机构的应用系统安全面临更多挑战。 ●金融机构面临内部人员的恶意行为和错误操作带来的风险:员工的疏忽、不当行为、以及内部人员故意滥用权限等因素,都可能导致应用系统的安全漏洞和数据泄露等问题。 1.3、金融行业应用系统安全的解决方案 为保障金融行业的应用系统安全,需要采取多种综合的措施。 ●安全开发与编码规范:金融应用程序的开发过程需要严格遵守安全开发的最佳实践和编码规范,包括安全编码指南、代码审查、安全工具使用等,以降低应用程序的安全风险。 ●身份认证与访问控制:强化对用户身份的认证,采用双因素认证、生物特征识别等多种方式,同时对用户的访问权限进行严格控制,确保用户只能访问其授权范围内的数据和功能。 ●数据加密与安全传输:在数据传输和存储过程中采用强大的加密算法,包括SSL/TLS协议的应用、端到端加密等,以防止数据泄露和窃取。 ●安全监控与响应系统:建立完善的安全监控系统,能够实时检测和应对各类安全威胁,及时采取应对措施,保障金融应用的稳定性和安全性。 ●安全培训与意识普及:对金融从业人员进行安全意识培训,提高其安全意识和应急响应能力,确保员工能够积极参与应用系统安全工作。 1.4、金融行业应用系统安全的未来展望 面对飞速发展的技术和日益复杂的威胁,金融行业应用系统安全也将不断面临 挑战。未来,金融行业应用系统安全需要更加注重与新兴技术的结合,如区块链、人工智能、大数据分析等,以提高金融应用的智能化和安全性。此外,金融行业应加强与监管机构、行业组织的合作,共同制定更为严格的安全标准和规范,形成全行业共同维护应用系统安全的良好氛围。同时,金融行业应用需要持续投入研发和技术更新,保持对最新安全威胁和攻击方式的快速响应能力,从而构建更加安全可靠的金融应用生态。 为了应对当前面临的风险和挑战,金融机构应用系统安全需要在以下方面做出改进: 首先,金融机构应加强安全文化和意识的培养。安全意识教育和培训应该贯穿金融机构的每个部门和岗位。金融机构应该定期开展安全培训和演练,提高员工的安全意识,减少对恶意攻击和钓鱼邮件等的误点率。 其次,金融机构应实施完善的访问控制和身份认证措施。采用多因素身份认证、单点登录、访问权限控制、实时监控等手段,限制用户的访问权限,并减少内部威胁。 另外,金融机构应加强数据安全存储和安全传输。对于敏感数据的传输和存储,采取加密技术来保护数据的机密性,包括SSL/TLS协议的应用、端到端加密等。同时,要定期备份数据并测试还原能力,以应对数据丢失和系统故障的情况。 金融机构还应加强安全监控和事件响应能力。建立安全信息与事件管理系统 (SIEM),实时监测应用系统的安全状态,并能够迅速响应和处置安全事件。金融机构应建立灵敏的事件响应机制,及时发现和应对安全漏洞和威胁。 此外,金融机构应加强合规和监管要求的遵循。及时了解和跟踪合规和监管要求的变化,确保应用系统的合规性。金融机构应建立健全的合规保密制度,加强对敏感数据的保护和审计。 总而言之,金融机构应用系统安全因其重要性对金融机构的稳定运营、客户资 产安全及合规要求都具有重要意义。金融机构应适应不断变化的安全威胁,采取综合的安全防御策略,并不断更新安全技术和提升员工安全意识,以确保应对风险和挑战的能力,并为客户提供安全可靠的金融服务。 1.5、应用系统安全测试体系建设对金融机构